Что такое виртуализация uac
UAC немного деталей
Здравствуйте уважаемые! Хотелось бы рассказать немного про один из механизмов защиты ОС.
Наверняка многие не по наслышке знаю что это такое, но надеюсь так же многие подчеркнут для себя что то новое из этого топика, и так приступим!
UAC (User Account Control) — это средство контроля пользовательских учетных записей, впервые появившийся в Windows Vista.
Главная задача UAC была — заставить всех работать как обычный стандартный системный пользователь, т.к. работа с правами администратора очень не безопасна. Все мы прекрасно знаем, что многие приложения с которыми мы работаем могут содержать «уязвимости» и их же часто используют злоумышленники. Соответственно работая это приложение с правами администратора (хотя за частую приложениям не требуются права такого уровня), может писать в системные папки абсолютно прозрачно для пользователя, чего нам собственно и не нужно. Для воизбежания подобных ситуаций собственно и был призван на помощь UAC.
Он не только защищает вас от злонамеренного кода, а так же в какой то мере оказывает совместимость со «старыми» приложениями. Он позволяет писать «старым» приложения в системные папки, а если быть точнее эти приложения просто так думают что пишут в системные папки, но на самом деле пишут в виртуализированные папки, в следствии чего приложения работают вполне корректно.
Собственно когда вы заходите в систему, создаются 2а маркера доступа: административный и обычный.
Административный лежит в загашнике, а вы работаете под обычным аккаунтом. Далее если вам потребуется повышение привилегий, возникает защищенный рабочий стол и внутри этой сессии вы делаете выбор «Да, я согласен» или «Отмена». Это сделано для предотвращения спуфинг атак. Если в систему заходит обычный пользователь, то для него административный маркер не создается, а только обычный. Затем если ему нужно повысить свои привилегии, снова появляется защищенный рабочий стол в котором запрашивается пароль административной учетной записи. После чего для приложения формируется административный маркер доступа. По завершению приложения, административный маркер доступа удаляется.
Виртуализация UAC
Хочу напомнить, что отключая user account control вы подвергаете всю систему опасности и превращаете вашу ОС в windows XP, а не просто отключаете надоедливые окошки.
При этом отключая UAC вы выключаете windows resource protection, который собирает все необходимые для «жизни» файлы в хранилище, что бы после критического сбоя восстановить поврежденные файлы.
Виртуализация осуществятся в режиме ядра.
* Файловая система: драйвером luafv.sys.
* Реестр: встроенными средствами.
Перенаправляемые каталоги системы:
\Program Files, \Windows, \Windows\System32.
Исключения: Системные *.exe и *.dll.
Перенаправляемые разделы реестра:
HKLM\Software
Исключения: Некоторые ключе подраздела Microsoft.
Приложение работающее с обычными правами, перенаправляет в:
* Запись:
\Users\\AppData\Local\Virtual Store
HKCU\Software\Classes\VirtualStore
Что совершенно прозрачно происходит для самого приложения, т.е. приложение продолжает думать что оно пишет к примеру в \Program Files.
* Чтение:
Сначала используется зона пользователя, затем глобальное расположение.
Повышение привилегий для определенного приложения:
* В свойствах ярлыка поставить галочку «Запускать от имени администратора».
* Эвристическим инсталлятором.
* Явным запросом пользователя.
* В манифесте.
Ну и в довершение неполный список действий, вызывающих сообщение User Account Control:
* Изменения в каталогах %SystemRoot% и %ProgramFiles% — в частности, инсталляция/деинсталляция ПО, драйверов и компонентов ActiveX; изменение меню «Пуск» для всех пользователей.
* Установка обновлений Windows, конфигурирование Windows Update.
* Перенастройка брандмауэра Windows.
* Перенастройка UAC.
* Добавление/удаление учётных записей.
* Перенастройка родительских запретов.
* Настройка планировщика задач.
* Восстановление системных файлов Windows из резервной копии.
* Любые действия в каталогах других пользователей.
* Изменение текущего времени (впрочем, изменение часового пояса UAC не вызывает).
Что такое виртуализация uac
В Windows 7 встроено множество средств защиты пользователей от угроз, не все эти средства понятны пользователя, что в итоге приводит к отключению. Самой первой моей статьей в этом блоге была настройка брандмауера Windows Vista, а не так давно я писал про отключение UAC для определенных приложений. Исследуя аппаратную виртуализацию в Windows 7(известная как XP Mode) я натолкнулся на упоминание о UAC виртуализации. Оказалось, что это простое решение для программ, которые требуют администраторских привилегий.
Причины несовместимости
Что-бы понять в чем заключается виртуализация, нужно сначала понять в чем проблема,зачем программам уровень администратора.
Собственно именно для такого «кривого софта» Microsoft реализовало виртуализацию UAC. В описании на сайте майкрософта написано, что разработчикам не следует во всем полагаться на виртуализацию, а писать свой софт правильно, да кто-ж их слушает.
Суть работы
Все сводится к тому, что UAC перехватывает запросы на запись в защищенные папки (C:\Windows,C:\Program Files\) и реестр, а вместо этого записывает эти данные в папки пользователя. Софту кажется, что запись и чтение ведется из одного места, а на самом деле работа происходит в каталоге пользователя.
Метод действенный, но не стоит его использовать для действительно важного софта. Запись производиться в свободную для записи область жесткого диска, а значит теоретически вирус может повредить или инфицировать эти файлы, а UAC этого даже не заметит.
Как включить UAC виртуализацию
Сначала нужно зайти в диспетчер задач и зайти в меню выбора столбцов. Нас тут интересует пункт «Виртуализация контроля учетных записей»
Теперь находим нужный процесс и нажимаем на нем правой кнопкой мыши. В появившемся окне нужно выбрать «Виртуализация UAC«
UAC немного деталей
Здравствуйте уважаемые! Хотелось бы рассказать немного про один из механизмов защиты ОС.
Наверняка многие не по наслышке знаю что это такое, но надеюсь так же многие подчеркнут для себя что то новое из этого топика, и так приступим!
UAC (User Account Control) — это средство контроля пользовательских учетных записей, впервые появившийся в Windows Vista.
Главная задача UAC была — заставить всех работать как обычный стандартный системный пользователь, т.к. работа с правами администратора очень не безопасна. Все мы прекрасно знаем, что многие приложения с которыми мы работаем могут содержать «уязвимости» и их же часто используют злоумышленники. Соответственно работая это приложение с правами администратора (хотя за частую приложениям не требуются права такого уровня), может писать в системные папки абсолютно прозрачно для пользователя, чего нам собственно и не нужно. Для воизбежания подобных ситуаций собственно и был призван на помощь UAC.
Он не только защищает вас от злонамеренного кода, а так же в какой то мере оказывает совместимость со «старыми» приложениями. Он позволяет писать «старым» приложения в системные папки, а если быть точнее эти приложения просто так думают что пишут в системные папки, но на самом деле пишут в виртуализированные папки, в следствии чего приложения работают вполне корректно.
Собственно когда вы заходите в систему, создаются 2а маркера доступа: административный и обычный.
Административный лежит в загашнике, а вы работаете под обычным аккаунтом. Далее если вам потребуется повышение привилегий, возникает защищенный рабочий стол и внутри этой сессии вы делаете выбор «Да, я согласен» или «Отмена». Это сделано для предотвращения спуфинг атак. Если в систему заходит обычный пользователь, то для него административный маркер не создается, а только обычный. Затем если ему нужно повысить свои привилегии, снова появляется защищенный рабочий стол в котором запрашивается пароль административной учетной записи. После чего для приложения формируется административный маркер доступа. По завершению приложения, административный маркер доступа удаляется.
Виртуализация UAC
Хочу напомнить, что отключая user account control вы подвергаете всю систему опасности и превращаете вашу ОС в windows XP, а не просто отключаете надоедливые окошки.
При этом отключая UAC вы выключаете windows resource protection, который собирает все необходимые для «жизни» файлы в хранилище, что бы после критического сбоя восстановить поврежденные файлы.
Виртуализация осуществятся в режиме ядра.
* Файловая система: драйвером luafv.sys.
* Реестр: встроенными средствами.
Перенаправляемые каталоги системы:
\Program Files, \Windows, \Windows\System32.
Исключения: Системные *.exe и *.dll.
Перенаправляемые разделы реестра:
HKLM\Software
Исключения: Некоторые ключе подраздела Microsoft.
Приложение работающее с обычными правами, перенаправляет в:
* Запись:
\Users\\AppData\Local\Virtual Store
HKCU\Software\Classes\VirtualStore
Что совершенно прозрачно происходит для самого приложения, т.е. приложение продолжает думать что оно пишет к примеру в \Program Files.
* Чтение:
Сначала используется зона пользователя, затем глобальное расположение.
Повышение привилегий для определенного приложения:
* В свойствах ярлыка поставить галочку «Запускать от имени администратора».
* Эвристическим инсталлятором.
* Явным запросом пользователя.
* В манифесте.
Ну и в довершение неполный список действий, вызывающих сообщение User Account Control:
* Изменения в каталогах %SystemRoot% и %ProgramFiles% — в частности, инсталляция/деинсталляция ПО, драйверов и компонентов ActiveX; изменение меню «Пуск» для всех пользователей.
* Установка обновлений Windows, конфигурирование Windows Update.
* Перенастройка брандмауэра Windows.
* Перенастройка UAC.
* Добавление/удаление учётных записей.
* Перенастройка родительских запретов.
* Настройка планировщика задач.
* Восстановление системных файлов Windows из резервной копии.
* Любые действия в каталогах других пользователей.
* Изменение текущего времени (впрочем, изменение часового пояса UAC не вызывает).
Подробно об UAC, механизме системного администрирования
Мой Компьютер, №5, 28.01.2008, №6, 04.02.2008
В общем, данной фразе Microsoft обязана многим. Единственное, чем она не обязана этой фразе, так это еще более отрицательное отношение к механизму UAC обычных пользователей. Здесь вина не в предубеждении, а в излишней назойливости механизма UAC. Согласитесь, как хорошо было раньше — попробовал пользователь сделать что-то, требующее прав администратора, и перед ним отобразилось сообщение с одним и тем же содержанием: в доступе отказано. Ну, отказано, так отказано, и все, и забыли. А что же теперь? Да, собственно, ничего нового — все то же. Все так же отображается диалог, даже более красивый и функциональный, чем раньше. Единственное, что теперь при отображении диалога Windows переходит на так называемый защищенный Рабочий стол. То есть, пока вы не закроете диалог повышения прав (UAC), вы не сможете работать с другими открытыми окнами и функциями Windows. Вот и все. Так почему же недовольны обычные пользователи? Давайте подумаем вместе.
Работа UAC: повышение прав доступа
Механизм UAC, впервые реализованный в операционной системе Windows Vista, предназначен для ограничения и контролирования автоматического выполнения действий, которые требуют прав администратора.
Проявление работы
То есть, если вы обладаете административными правами и попробуете выполнить какое-либо действие, требующее прав администратора, перед вами отобразится диалог с просьбой подтвердить то, что вы хотите сделать. Это сделано для того, чтобы различные вредоносные программы не могли автоматически в контексте вашей учетной записи выполнять свои вредоносные действия.
Если же вы не обладаете административными правами и попытаетесь выполнить какое-либо действие, требующее прав администратора, перед вами отобразится диалог с просьбой ввести пароль какой-либо административной учетной записи. Этот диалог также является частью UAC.
Единственной учетной записью, которая не ограничивается механизмом UAC, является встроенная учетная запись Администратор. Однако по умолчанию эта учетная запись заблокирована, и перед тем как использовать ее, необходимо выполнить разблокировку с помощью консоли lusrmgr.msc (оснастка Локальные пользователи и группы).
Принцип работы
Если это вам не интересно, возможно, вас заинтересует другое — представляете, при использовании механизма UAC даже пользователи с правами администратора работают в операционной системе от имени обычных пользователей. Если вы обычный пользователь, неужели это не вызывает у вас иронии? До чего же нужно было довести Microsoft, чтобы она решила опустить администраторов до разряда обычных пользователей?
На самом деле это очень интересная задумка.
В предыдущих версиях Windows (а также в Windows Vista после отключения UAC) при входе пользователя (администратора) в систему ему выдается единственный маркер доступа, содержащий в себе описание всех прав и возможностей (административных задач), которые разрешено выполнять пользователю.
А вот в Windows Vista с включенным механизмом UAC пользователю с правами администратора выдается сразу два маркера: фильтрованный маркер доступа обычного пользователя и полный маркер доступа администратора. При запуске оболочки (explorer.exe) используется фильтрованный маркер доступа обычного пользователя. То есть, как оболочка, так и все вызываемые с ее помощью диалоги и программы запускаются от имени обычного пользователя. А вот если администратор при запуске программы в появившемся диалоге UAC подтвердил запуск программы, тогда эта самая программа будет запущена с использованием полного маркера доступа администратора. Также запустить программу с использованием полного маркера доступа администратора можно при помощи команды Запустить от имени администратора контекстного меню значка или ярлыка программы.
Возникает еще один вопрос, какие же программы требуют повышения прав доступа? На этот вопрос нам поможет ответить сама операционная система: если для запуска программы требуются административные права доступа, тогда в правом нижнем углу значка программы появится значок щита.
Например, среди стандартных программ требованием административного доступа могут похвастаться следующие:
Наличие административного доступа могут требовать только отдельные функциональные возможности компонентов Windows. Например, изменение настроек службы времени, изменение даты и времени, а также архивирование всего компьютера (Windows Complete PC).
Проявление UAC при доступе к папкам
Существует два вида диалогов повышения прав доступа UAC. Первый из них появляется при попытке запуска какой-либо программы. Второй же появляется при попытке доступа/копирования в папку, разрешения на доступ/копирование в которую пользователь не имеет. Надеюсь, теперь вы понимаете, почему система так часто отображает диалоги UAC при работе с папками Windows: поскольку проводник запущен от имени обычного пользователя, то и работа с папками (копирование) происходит от его имени, а не от имени администратора.
Настройка диалога повышения прав доступа
Как и большинство компонентов Windows, работу диалога повышения прав доступа можно настроить. Делается это при помощи групповых политик — элементов раздела Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки Редактор объектов групповой политики.
Управление учетными записями пользователей: переключение на безопасный рабочий стол при выполнении запроса на повышение прав. По умолчанию диалог UAC выводится на безопасный Рабочий стол (это видно по тому, что при выводе диалога UAC все остальные элементы Рабочего стола затемняются, и вы не можете получить доступ к ним до тех пор, пока не закроете диалог UAC). С помощью же данной политики можно добиться вывода диалога UAC на обычный Рабочий стол.
Если диалог UAC будет выводиться на Рабочий стол пользователя, тогда вы сможете работать с другими программами даже тогда, когда для одной из них отображен диалог UAC. Кроме того, любые вредоносные программы смогут программно управлять данным диалогом, например, автоматически разрешить запуск приложения.
Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором. Пусть вас не пугает эта страшная фраза: «режим одобрения». На самом деле работой в режиме одобрения называется работа администратора с включенным механизмом UAC. То есть данная политика позволяет отключить UAC для учетных записей администраторов. Для этого необходимо установить ее в состояние “Повышение без запроса”.
Управление учетными записями пользователей: поведение запроса на повышение прав для обычных пользователей. Данная политика позволяет отключить UAC для обычных пользователей (для этого установите политику в состояние Автоматически отклонять запросы на повышение прав). То есть, после отключения UAC при попытке обычных пользователей выполнить действия, требующие прав администратора, операционная система запретит им сделать это.
Управление учетными записями пользователей: повышать права для UIAccess-приложений только при установке в безопасных местах. По умолчанию приложение может устанавливаться с повышенными правами (на уровне целостности UIAccess, то есть с записью с пометкой UIAccess=true в манифесте приложения) только в том случае, если оно находится в каталоге %programfiles% или %systemroot%. Несколько слов об уровнях целостности будет сказано чуть позже в этой статье.
Если же вы отключите данную политику, тогда на уровне UIAccess будет разрешено запускать любые приложения, независимо от того, в каком каталоге они находятся.
Управление учетными записями пользователей: повышение прав только для подписанных и проверенных исполняемых файлов. По умолчанию механизм повышения прав может применяться при запуске любых приложений. Если же вы установите данную политику, тогда использование механизма повышения прав будет разрешено только для тех программ, которые имеют цифровую подпись.
Контроль учетных записей пользователей: режим одобрения администратором для встроенной учетной записи администратора. Как было сказано ранее, механизм UAC не применяется для встроенной учетной записи Администратор. Если же вы включите данную политику, тогда применение UAC будет выполняться даже для встроенной учетной записи администратора.
Работа UAC: установка приложений
Механизм UAC используется для определения того, может ли обычный пользователь запустить инсталляцию конкретного приложения. Эта проверка выполняется при каждом запуске какой-либо программы и действует примерно так:
Настройка UAC при установке приложений
Данное проявление работы механизма UAC также настраивается при помощи групповых политик: элементов раздела Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки Редактор объектов групповой политики.
Кроме того, работу UAC при установке приложений можно настроить с помощью групповых политик раздела Конфигурация компьютера > Административные шаблоны > Система > Диагностика > Диагностика совместимости приложений. В данном разделе нам интересны следующие групповые политики.
Работа UAC: механизм виртуализации
Механизм виртуализации файловой системы и реестра — еще одно проявление работы UAC. Основное его назначение заключается в следующем.
По умолчанию данный механизм применяется для каталогов %ProgramFiles%, %Windir%, %Windir%system32, а также для ветви реестра HKEY_LOCAL_MACHINESoftware.
То есть, обратите внимание на такой пример. По умолчанию программа QIP помещает файлы, переданные непосредственно с ее помощью, в папку вида %programfiles%QIPUsers»ваш номер ICQ»RcvdFiles»номер ICQ передающего файл». Если же вы работаете с включенной виртуализацией, тогда впоследствии не сможете найти в этой папке переданных данных — они будут находиться в каталоге %userprofile%AppDataLocalVirtualStoreProgram FilesQIPUsers»ваш номер ICQ»RcvdFiles»номер ICQ передающего файл».
Настройка механизма виртуализации
Вы можете самостоятельно отключить работу механизма виртуализации для конкретных подразделов ветви реестра HKEY_LOCAL_MACHINESoftware. Для этого достаточно воспользоваться командой вида reg flags set DONT_VIRTUALIZE. Если же необходимо вернуть возможность виртуализации для определенной ветви реестра, следует воспользоваться командой reg flags set. Данная команда для указанной ветви реестра сбрасывает флаги DONT_VIRTUALIZE, DONT_SILENT_FAIL, RECURSE_FLAG.
Кроме того, вы можете полностью отключить механизм виртуализации без отключения UAC. Для этого достаточно воспользоваться политикой Управление учетными записями пользователей: виртуализация сбоев записи в файл или реестр в расположения пользователей раздела Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки Редактор объектов групповой политики.
Механизм целостности
Механизм UAC является лишь частью более глобального механизма, называемого механизмом целостности. Механизм целостности вводит в систему 6 уровней целостности, выполняя следующее ограничение по их использованию: приложения с более низким уровнем целостности не могут изменять приложения с более высоким уровнем целостности.
Итак, существует 6 уровней целостности.
Отключение UAC
Как мы определились в начале статьи, у администраторов и обычных пользователей механизм UAC вызывает отрицательные эмоции. Причем складывается такое ощущение, что отрицание вкралось уже и в подсознание людей: как у собачек Павлова. Как только прозвенел звонок, сразу же начинается слюноотделение у собачек. Как только появился намек на UAC, сразу же возникают отрицательные эмоции.
В общем, если данная статья еще не убедила вас в полезности диалога UAC, тогда давайте продолжим ее чтение. Но перед этим давайте перечислим все плюсы UAC (минус у него, как мы уже узнали, только один — излишняя назойливость, которую, кстати, в SP1 для Windows Vista обещали снизить).
Несмотря на всю привлекательность UAC с точки зрения безопасности компьютера, с точки зрения удобства эта технология вызывает не только возгласы негодования, но и желание поскорее ее отключить. Конечно, отключение UAC нельзя назвать лучшим выходом из положения, но, тем не менее, давайте рассмотрим и эту возможность.
Отключить UAC можно многими способами
Программа msconfig.exe. Например, можно воспользоваться элементом Отключить контроль учетных записей (UAC) списка, расположенного на вкладке Сервис программы msconfig.exe. После выбора данного элемента достаточно нажать на кнопку Запуск, чтобы механизм UAC вас больше не беспокоил.
Мастер Учетные записи пользователей. Также отключить UAC можно при помощи ссылки Включение и отключение контроля учетных записей (UAC) мастера Учетные записи пользователей. Вызвать данный мастер можно многими способами, например:
Оснастка Редактор объектов групповой политики. Еще одним способом настройки UAC является использование политики Управление учетными записями пользователей: все пользователи, включая администраторов, работают как обычные пользователи раздела Конфигурация компьютера > Конфигурация Windows > Параметры безопасности > Локальные политики > Параметры безопасности оснастки Редактор объектов групповой политики.
Последнее слово
Ну что? Вы все-таки решили отключить UAC? Тогда перед этим прочитайте следующие три абзаца статьи.
Хотелось бы рассказать об интересной альтернативе полного отключения UAC. Эту альтернативу мы уже рассматривали выше. Это политики Управление учетными записями пользователей: поведение запроса на повышение прав для администраторов в режиме одобрения администратором и Управление учетными записями пользователей: поведение запроса на повышение прав для обычных пользователей. Только ради примера давайте попробуем установить эти политики равными, соответственно, Повышение без запроса и Автоматически отклонять запросы на повышение прав. Что же у нас после этого получилось? Как мы и хотели, при открытии программ диалог повышения прав не отображается. Однако хотелось бы привести один пример.
Как и многие пользователи, автор данной статьи пользуется программой Mail.Ru Agent. Все в этой программе чудесно, кроме одного — при своем запуске она автоматически помещает себя в ветвь реестра для автозагрузки (ветвь HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun). А если я не хочу этого? Между прочим, так делают всякие вирусы и вредоносные программы…
Так вот, если вы установите рассмотренные выше политики в значения Повышение без запроса и Автоматически отклонять запросы на повышение прав, тогда программа Mail.Ru Agent — равно как и всякие вредоносные программы — не сможет без вашего разрешения добавлять себя в автозагрузку. Именно поэтому я советую вместо полного отключения механизма UAC отключить только отображение диалогов на повышение прав доступа. Эффект от механизма UAC почти тот же, а назойливость намного меньше.
На этом данную статью и предполагалось завершить. Однако буквально перед ее отправкой в редакцию возникла еще одна маленькая проблемка, о которой хотелось бы рассказать. При включенном UAC запускать и останавливать пакет веб-сервера DENVER (при помощи его ярлыков Run и Stop) можно только с правами администратора. Происходит это из-за того, что хотя запуск DENVER и не требует прав администратора (то есть диалог UAC не вызывается), однако он пытается выполнить модификацию файла hosts каталога %systemroot%system32driveretc. Итак, при использовании UAC возникает дилемма: ярлык запускается, но сервер запуститься не может. Выход из этой дилеммы прост, однако хотелось бы его напомнить: в диалоге Свойства ярлыков на запуск и остановку сервера нажмите на кнопку Дополнительно… и в появившемся диалоге установите флажок Запуск от имени администратора. Теперь пакет DENVER всегда будет запускаться с правами администратора (только давайте не будем здесь рассматривать аспект безопасности такого вида запуска). Точно так же можно устанавливать запуск по умолчанию от имени администратора и для других ярлыков на программы.